Archer BE450またはBE7200を自宅のルーターとして使っているなら、今日確認することが一つあります。管理画面を開いて、ファームウェアの版数が 1.3.0 Build 20260416 になっているかどうかです。
JVNは2026年6月2日、この2機種のv1にOSコマンドインジェクションの脆弱性(CVE-2026-5509)があると公表しました。修正済みのJP版ファームウェアはすでに5月中旬から公開されています。対象外の機種や版数であれば、この先を読む必要はありません。
🔍 対象は2機種のv1のみ
JVN(JVNVU95687008)の公表によると、今回の脆弱性はArcher BE450 v1とArcher BE7200 v1の2機種が対象です。他のTP-Link製品は含まれません。
影響を受けるのはファームウェアが 1.3.0 Build 20260416 未満の版数が入った機体です。修正済みJP版ファームウェアは、Archer BE450向けが2026年5月13日、Archer BE7200向けが2026年5月18日に公開されています。
| 確認項目 | Archer BE450 | Archer BE7200 |
|---|---|---|
| 対象ハードウェア | v1 | v1 |
| 影響を受ける版数 | 1.3.0 Build 20260416 未満 | 1.3.0 Build 20260416 未満 |
| 修正版(JP版) | 1.3.0 Build 20260416 | 1.3.0 Build 20260416 |
| 修正版公開日 | 2026年5月13日 | 2026年5月18日 |
ハードウェアバージョンは本体底面のラベルか、管理画面のシステム情報から確認できます。「v1」「Ver.1.0」と書かれていたら対象です。
⚠️ 攻撃が成立する前提条件
JVNの説明では、「管理インターフェースへの認証後に任意のOSコマンドを実行される可能性がある」とあります。攻撃者がまず管理画面にログインできることが前提となる攻撃です。
インターネットに接続しているだけで外部から自動的に悪用されるタイプではありません。ただし、管理パスワードが初期値のままだったり、家族と共有していたりする場合は別の話になります。管理パスワードが初期値のままだと攻撃者に認証を突破される可能性があるため、ファームウェア更新と合わせて強度確認まで済ませてください。
脆弱性の種別はOSコマンドインジェクション(CWE-78)で、CVE番号はCVE-2026-5509。CVSS v4.0基本値は8.5、v3.1基本値は6.8です。
📋 ファームウェアの確認と更新手順
ハードウェアバージョンがv1であることを確認したら、管理画面にログインしてファームウェア情報を開きます。版数が 1.3.0 Build 20260416 であれば修正済みです。
更新が必要な場合は、TP-Link日本サポートページのダウンロードセクションから「JP版」「V1用」のファイルを選択してください。US版やEU版を誤って適用すると、不具合や保証対象外につながる可能性があるとTP-Linkが案内しています。
更新中の電源断は故障リスクになります。ルーターが安定した電源につながっている状態で作業してください。詳細な手順はTP-Link公式FAQ「TP-Link Wi-Fiルーターのファームウェアアップグレードの方法」に掲載されています。
📌 公表の経緯
今回の脆弱性を発見・報告したのは株式会社ゼロゼロワンの早川宙也氏で、JVNはTP-Linkとの開発者調整を経て6月2日に公表しました。修正版の公開(5月中旬)から公表(6月2日)まで約2〜3週間のラグがあるのは、こうした調整期間があるためです。
個人的に興味深かったのは、修正版が5月に静かに公開されていた点です。自動アップデートが有効でなければ版数が上がっていないケースは珍しくないので、修正版公開からJVN公表まで3週間弱のラグがあり、自動アップデートが無効なら旧版のままの機体は少なくありません。家庭用ルーターの脆弱性対応がもう少し能動的に通知される仕組みになれば、こういうラグはもっと縮まるんですよね。
